專(zhuān)利名稱:一種雙因子動(dòng)態(tài)密碼認(rèn)證的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)上交易中用于確定客戶身份的認(rèn)證方法及系統(tǒng),尤其是一種在網(wǎng)上交易時(shí)基于手機(jī)短信的雙因子動(dòng)態(tài)密碼認(rèn)證的方法及系統(tǒng)。
背景技術(shù):
目前,隨著互聯(lián)網(wǎng)技術(shù)飛速發(fā)展,網(wǎng)上交易已經(jīng)深入到人們的日常生活與工作中,其中最具有代表性的就是“網(wǎng)上銀行”與“網(wǎng)上證券”的應(yīng)用。例如“網(wǎng)上銀行”作為一種全新的銀行客戶服務(wù)提交渠道,客戶無(wú)論在家里、辦公室,還是在旅途中都可以通過(guò)網(wǎng)絡(luò)辦理包括查詢、轉(zhuǎn)賬、繳費(fèi)等各種銀行業(yè)務(wù),管理自己的資產(chǎn)。但網(wǎng)上銀行的安全性問(wèn)題,也日益突出地顯現(xiàn)出來(lái),對(duì)客戶的用戶識(shí)別碼(例如帳號(hào))和密碼等資料在交易過(guò)程中極易被盜,被盜后不法分子利用盜取的用戶識(shí)別碼和密碼進(jìn)行非法操作,直接侵害了客戶的利益,這不僅直接影響到網(wǎng)上交易的信譽(yù),也對(duì)網(wǎng)上交易發(fā)展產(chǎn)生不利的負(fù)面影響。
目前計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種用戶名/密碼方式用戶名/密碼是最簡(jiǎn)單也是最常用的身份認(rèn)證方法,它是基于“whatyou know”的驗(yàn)證手段。每個(gè)用戶的密碼是由這個(gè)用戶自己設(shè)定的,只有他自己才知道,因此只要能夠正確輸入密碼,計(jì)算機(jī)就認(rèn)為他就是這個(gè)用戶。然而實(shí)際上,由于許多用戶為了防止忘記密碼,經(jīng)常采用諸如自己或家人的生日、電話號(hào)碼等容易被他人猜測(cè)到的有意義的字符串作為密碼,或者把密碼抄在一個(gè)自己認(rèn)為安全的地方,這都存在著許多安全隱患,極易造成密碼泄露。即使能保證用戶密碼不被泄漏,由于密碼是靜態(tài)的數(shù)據(jù),并且在驗(yàn)證過(guò)程中需要在計(jì)算機(jī)內(nèi)存和網(wǎng)絡(luò)中傳輸,而每次驗(yàn)證過(guò)程使用的驗(yàn)證信息都是相同的,很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬等病毒程序或網(wǎng)絡(luò)中的監(jiān)聽(tīng)設(shè)備截獲。因此用戶名/密碼方式一種是極不安全的身份認(rèn)證方式??梢哉f(shuō)基本上沒(méi)有任何安全性可言。
IC卡認(rèn)證IC卡是一種內(nèi)置集成電路的卡片,卡片中存有與用戶身份相關(guān)的數(shù)據(jù),IC卡由專(zhuān)門(mén)的廠商通過(guò)專(zhuān)門(mén)的設(shè)備生產(chǎn),可以認(rèn)為是不可復(fù)制的硬件。IC卡由合法用戶隨身攜帶,登錄時(shí)必須將IC卡插入專(zhuān)用的讀卡器讀取其中的信息,以驗(yàn)證用戶的身份。IC卡認(rèn)證是基于“what you have”的手段,通過(guò)IC卡硬件不可復(fù)制來(lái)保證用戶身份不會(huì)被仿冒。然而由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的,通過(guò)內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽(tīng)等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息。因此,靜態(tài)驗(yàn)證的方式還是存在根本的安全隱患。
USB Key認(rèn)證基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種身份認(rèn)證技術(shù)。USB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的基于PKI(Public Key Infrastructure公鑰基礎(chǔ)設(shè)施)構(gòu)架的數(shù)字證書(shū)。而這種數(shù)字證書(shū)認(rèn)證方式可以有效保證用戶的身份安全和數(shù)據(jù)安全。數(shù)字證書(shū)是由可信任的第三方認(rèn)證機(jī)構(gòu)頒發(fā)的一組包含用戶身份信息(密鑰)的數(shù)據(jù)結(jié)構(gòu),PKI體系通過(guò)采用密碼學(xué)算法構(gòu)建了一套完善的流程和保證了數(shù)字證書(shū)的持有人的身份和數(shù)據(jù)安全。然而,數(shù)字證書(shū)本身也是一種數(shù)字身份,還是存在被復(fù)制的危險(xiǎn),于是,USB Key作為數(shù)字證書(shū)存儲(chǔ)介質(zhì)增加了很多自毀措施,在受到破解的時(shí)候自動(dòng)毀滅所存儲(chǔ)的數(shù)字證書(shū)。而且PKI體系的一些安全措施,使得USB Key可以保證用戶數(shù)字證書(shū)無(wú)法被復(fù)制。這種方式的最大缺點(diǎn)就是中心端PKI的部署成本非常巨大,而且在用戶端需要每人配置一個(gè)USB KEY,成本較高;另外,每次使用需要把USB KEY插入到微機(jī)的USB接口中,如果微機(jī)沒(méi)有USB接口或者接口壞了或者USB KEY壞了就無(wú)法使用。
生物特征認(rèn)證生物特征認(rèn)證是指采用每個(gè)人獨(dú)一無(wú)二的生物特征來(lái)驗(yàn)證用戶身份的技術(shù)。常見(jiàn)的有指紋識(shí)別、虹膜識(shí)別等。從理論上說(shuō),生物特征認(rèn)證是最可靠的身份認(rèn)證方式,因?yàn)樗苯邮褂萌说奈锢硖卣鱽?lái)表示每一個(gè)人的數(shù)字身份,不同的人具有相同生物特征的可能性可以忽略不計(jì),因此幾乎不可能被仿冒。生物特征認(rèn)證基于生物特征識(shí)別技術(shù),受到現(xiàn)在的生物特征識(shí)別技術(shù)成熟度的影響,采用生物特征認(rèn)證還具有較大的局限性。首先,生物特征識(shí)別的準(zhǔn)確性和穩(wěn)定性還有待提高,特別是如果用戶身體受到傷病或污漬的影響,往往導(dǎo)致無(wú)法正常識(shí)別,造成合法用戶無(wú)法登陸的情況。其次,由于研發(fā)投入較大和產(chǎn)量較小的原因,生物特征認(rèn)證系統(tǒng)的成本非常高,目前只適合于一些安全性要求非常高的場(chǎng)合如部隊(duì)等使用,還無(wú)法做到大面積推廣。
動(dòng)態(tài)密碼動(dòng)態(tài)密碼技術(shù)是一種讓用戶的密碼按照時(shí)間或使用次數(shù)不斷動(dòng)態(tài)變化,每個(gè)密碼只使用一次的技術(shù)。它采用一種稱之為動(dòng)態(tài)令牌的專(zhuān)用硬件,內(nèi)置電源、密碼生成芯片和顯示屏,密碼生成芯片運(yùn)行專(zhuān)門(mén)的密碼算法,根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī),即可實(shí)現(xiàn)身份的確認(rèn)。由于每次使用的密碼必須由動(dòng)態(tài)令牌來(lái)產(chǎn)生,只有合法用戶才持有該硬件,所以只要密碼驗(yàn)證通過(guò)就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無(wú)法利用這個(gè)密碼來(lái)仿冒合法用戶的身份。由于動(dòng)態(tài)密碼技術(shù)采用一次一密的方法,有效地保證了用戶身份的安全性,且成本與IC卡認(rèn)證、USB Key認(rèn)證、生物特征認(rèn)證的開(kāi)發(fā)成本較低,相對(duì)而言具有明顯的優(yōu)勢(shì)。
目前的動(dòng)態(tài)密碼方式大多采用的是硬件方式的、基于時(shí)間同步的認(rèn)證令牌。但是這種基于時(shí)間同步的動(dòng)態(tài)密碼系統(tǒng)有2個(gè)非常明顯的缺點(diǎn)1、由于要求用戶端的認(rèn)證令牌與中心端認(rèn)證服務(wù)器保持嚴(yán)格的時(shí)間同步,但是在現(xiàn)實(shí)情況中,這種同步很難做到十分精確,總會(huì)發(fā)生時(shí)間漂移,使得用戶端的認(rèn)證令牌與中心端認(rèn)證服務(wù)器時(shí)間不一致,從而使得雙方在某個(gè)時(shí)刻產(chǎn)生的密碼不一致。對(duì)于這種情況,系統(tǒng)需要額外的方法來(lái)不斷對(duì)時(shí)間進(jìn)行修正,從而對(duì)用戶使用造成的不便;2、認(rèn)證令牌的價(jià)格問(wèn)題,例如目前應(yīng)用最廣的RSA認(rèn)證令牌,平均要1000元/只,單位使用成本較高,無(wú)法大面積推廣使用。當(dāng)然有些金融機(jī)構(gòu)就采用一些變通的方法來(lái)給用戶提供動(dòng)態(tài)密碼。例如中國(guó)建設(shè)銀行就一次性給用戶提供20個(gè)動(dòng)態(tài)密碼,每個(gè)密碼都封裝成刮刮卡的形式,刮開(kāi)一張,用過(guò)一次后就作廢。下次使用就刮另外一張。全部用完后到銀行再次申請(qǐng)20張卡。這種方式從使用角度來(lái)說(shuō)也十分不方便,成本也較高。
在黃金富于2000年7月10日申請(qǐng)的名稱為“采用動(dòng)態(tài)密碼的認(rèn)證付款的方法和相應(yīng)的電子裝置”的發(fā)明專(zhuān)利(申請(qǐng)?zhí)枮?0109820.9)中,雖然也采用了隨機(jī)碼(天碼),但是,他的動(dòng)態(tài)密碼就是心碼和天碼的簡(jiǎn)單合并(心碼在前,天碼在后),這種動(dòng)態(tài)密碼一旦被他人截獲,非常容易得到用戶的心碼,如果再通過(guò)其他方法截獲用戶的卡號(hào)后,黑客就可以偽造出完全可以使用的銀行卡;另外,在該發(fā)明專(zhuān)利中,天碼存在的時(shí)間過(guò)長(zhǎng),一旦黑客截獲到用戶的動(dòng)態(tài)密碼,就可以在一天的時(shí)間內(nèi)非法使用;此外,正是由于存在上述缺陷,該專(zhuān)利涉及的技術(shù)方案只能用在向商家付款這種環(huán)境中,存在一定的局限性。
發(fā)明內(nèi)容
本發(fā)明的目的在于針對(duì)目前網(wǎng)上交易時(shí)用于確定客戶身份的幾種方法存在的不足和問(wèn)題,尤其動(dòng)態(tài)密碼方式存在的用戶端的認(rèn)證令牌與中心端認(rèn)證服務(wù)器之間容易產(chǎn)生時(shí)間漂移,必須經(jīng)常校正,以及RSA認(rèn)證令牌因成本問(wèn)題難于推廣,一次性提供有限個(gè)動(dòng)態(tài)密碼使用不方便的諸多實(shí)際問(wèn)題,提供了一種在網(wǎng)上交易時(shí)用于確定客戶身份的新的雙因子動(dòng)態(tài)密碼認(rèn)證的方法及系統(tǒng)。
本發(fā)明的目的是這樣實(shí)現(xiàn)的一種雙因子動(dòng)態(tài)密碼認(rèn)證的方法,其特征在于使用前,用戶應(yīng)該在相應(yīng)的網(wǎng)絡(luò)業(yè)務(wù)機(jī)構(gòu)申請(qǐng)備案,并將用戶識(shí)別碼、用戶的短信接收號(hào)碼和客戶密碼存儲(chǔ)在網(wǎng)絡(luò)業(yè)務(wù)機(jī)構(gòu)的網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)中;
使用中a)用戶通過(guò)用戶計(jì)算機(jī)輸入用戶識(shí)別碼,登錄認(rèn)證服務(wù)器經(jīng)過(guò)網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)服務(wù)器調(diào)取用戶的短信接收號(hào)碼和客戶密碼,由登錄認(rèn)證服務(wù)器產(chǎn)生一個(gè)隨機(jī)密碼,并將它通過(guò)用戶的短信接收號(hào)碼發(fā)送給用戶;b)用戶將客戶密碼和獲得的隨機(jī)密碼及時(shí)輸入用戶計(jì)算機(jī),用戶計(jì)算機(jī)將客戶密碼和隨機(jī)密碼進(jìn)行單向加密運(yùn)算,并將運(yùn)算結(jié)果經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器傳輸?shù)降卿浾J(rèn)證服務(wù)器;c)登錄認(rèn)證服務(wù)器也將調(diào)取的客戶密碼和已發(fā)送給用戶的隨機(jī)密碼進(jìn)行單向加密運(yùn)算,并與從網(wǎng)絡(luò)服務(wù)器收到的結(jié)果進(jìn)行比較;d)如果兩者的計(jì)算結(jié)果一致,用戶身份被確認(rèn),登錄認(rèn)證服務(wù)器將使網(wǎng)絡(luò)服務(wù)器開(kāi)通,終端接受用戶的操作指令;如果兩者的計(jì)算結(jié)果不一致,用戶被拒絕,登錄認(rèn)證服務(wù)器將使網(wǎng)絡(luò)服務(wù)器阻斷,終端不能接受用戶的操作指令。
在雙因子動(dòng)態(tài)密碼認(rèn)證的方法中所述的用戶識(shí)別碼為身份證號(hào)碼,或?qū)S每ㄌ?hào),或手機(jī)號(hào)碼,或特定的字符;所述的有效短信接收號(hào)碼為手機(jī)或小靈通號(hào)碼;用戶獲得的隨機(jī)密碼的方式為通過(guò)手機(jī)或小靈通方式獲得的短信,所述的終端是與該用戶相關(guān)的網(wǎng)上銀行業(yè)務(wù)系統(tǒng),或網(wǎng)上證券交易系統(tǒng)。
在雙因子動(dòng)態(tài)密碼認(rèn)證的方法中用戶將客戶密碼和獲得的隨機(jī)密碼及時(shí)輸入用戶計(jì)算機(jī),是指手機(jī)或小靈通方式接收到隨機(jī)密碼10分鐘內(nèi),用戶必須將客戶密碼和獲得的隨機(jī)密碼輸入用戶計(jì)算機(jī)。
一種實(shí)現(xiàn)上述雙因子動(dòng)態(tài)密碼認(rèn)證方法的系統(tǒng),包括用戶計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)服務(wù)器和終端,其特征在于還包括登錄認(rèn)證服務(wù)器、基站和用戶手機(jī),其中網(wǎng)絡(luò)服務(wù)器串接在用戶計(jì)算機(jī)和終端之間,網(wǎng)絡(luò)服務(wù)器通過(guò)登錄認(rèn)證服務(wù)器由數(shù)據(jù)線與網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)連接,基站將登錄認(rèn)證服務(wù)器產(chǎn)生的含有隨機(jī)密碼的短信數(shù)據(jù)發(fā)送給用戶手機(jī)或小靈通。
在實(shí)現(xiàn)雙因子動(dòng)態(tài)密碼認(rèn)證方法的系統(tǒng)中網(wǎng)絡(luò)服務(wù)器的輸入端設(shè)有防火墻,登錄認(rèn)證服務(wù)器通過(guò)短信網(wǎng)關(guān)向基站傳輸含有隨機(jī)密碼的短信數(shù)據(jù),所述的終端是與該用戶相關(guān)的網(wǎng)上銀行業(yè)務(wù)系統(tǒng),或網(wǎng)上購(gòu)物交易系統(tǒng),或網(wǎng)上證券交易系統(tǒng)。
在實(shí)現(xiàn)雙因子動(dòng)態(tài)密碼認(rèn)證方法的系統(tǒng)中所述的登錄認(rèn)證服務(wù)器為一臺(tái)DELL的工業(yè)機(jī)架服務(wù)器,核心配置為1.86G主頻的CPU,512M的內(nèi)存,80G的硬盤(pán),運(yùn)行LUNUX操作系統(tǒng),并配有以下軟件模塊核心模塊、通信模塊、數(shù)據(jù)查詢模塊、隨機(jī)碼模塊、加密模塊、定時(shí)器模塊、短信模塊。
本發(fā)明的優(yōu)點(diǎn)在于由于存在客戶密碼和隨機(jī)密碼雙因子,而隨機(jī)密碼是不確定的,只有在輸入用戶識(shí)別碼才能產(chǎn)生,產(chǎn)生的隨機(jī)密碼是通過(guò)用戶的有效通訊方式以短信的形式發(fā)送給用戶,又要求用戶必須在獲得隨機(jī)密碼后及時(shí)輸入用戶計(jì)算機(jī),每個(gè)環(huán)節(jié)環(huán)環(huán)相套,這些都確保在網(wǎng)上交易時(shí)能有效地驗(yàn)證客戶真實(shí)身份,提高了識(shí)別的準(zhǔn)確性;同時(shí),每個(gè)環(huán)節(jié)保密性很強(qiáng),尤其是對(duì)客戶密碼和隨機(jī)密碼這對(duì)因子采用單向加密運(yùn)算(拒絕反向推算),使破譯更加困難;另外,作為雙因子之一的“客戶密碼”通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳輸,而作為另外一個(gè)因子的“隨機(jī)密碼”通過(guò)短信方式傳輸,這種采用兩種不同的物理信道來(lái)傳輸不同因子的方法的安全性更高;最后,本方法的實(shí)現(xiàn)成本低,用戶不需要配備額外的硬件設(shè)備,使得該方法的大面積推廣成為可能。
圖1是實(shí)現(xiàn)雙因子動(dòng)態(tài)密碼認(rèn)證方法的系統(tǒng)示意圖;圖2是登錄認(rèn)證服務(wù)器的結(jié)構(gòu)原理框圖。
圖中1、用戶計(jì)算機(jī);2、防火墻;3、網(wǎng)絡(luò)服務(wù)器;4、終端;5、網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)服務(wù)器;6、登錄認(rèn)證服務(wù)器;7、短信網(wǎng)關(guān);8、基站。
具體實(shí)施例方式
附圖非限制性地公開(kāi)了一種實(shí)現(xiàn)雙因子動(dòng)態(tài)密碼認(rèn)證方法的具體系統(tǒng),以及登錄認(rèn)證服務(wù)器的結(jié)構(gòu)原理框圖,下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的描述。
由圖1可見(jiàn),實(shí)現(xiàn)雙因子動(dòng)態(tài)密碼認(rèn)證方法的具體系統(tǒng)與傳統(tǒng)的網(wǎng)上交易系統(tǒng)一樣,都包括用戶計(jì)算機(jī)1、網(wǎng)絡(luò)服務(wù)器3、網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)服務(wù)器5和終端4,其區(qū)別在于還包括登錄認(rèn)證服務(wù)器6、基站8和用戶手機(jī),網(wǎng)絡(luò)服務(wù)器3通過(guò)登錄認(rèn)證服務(wù)器6由數(shù)據(jù)線與網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)服務(wù)器5連接,基站8將登錄認(rèn)證服務(wù)器6產(chǎn)生的含有隨機(jī)密碼的短信數(shù)據(jù)發(fā)送給用戶手機(jī)。具體實(shí)施時(shí),網(wǎng)絡(luò)服務(wù)器3的輸入端設(shè)有防火墻2,登錄認(rèn)證服務(wù)器6通過(guò)短信網(wǎng)關(guān)7向基站8傳輸含有隨機(jī)密碼的短信數(shù)據(jù),所述的終端4可以是與該用戶相關(guān)的網(wǎng)上銀行業(yè)務(wù)系統(tǒng),或網(wǎng)上證券交易系統(tǒng)。在本實(shí)施例中,終端4為網(wǎng)上銀行業(yè)務(wù)系統(tǒng),其配置為用戶計(jì)算機(jī)1具體配置為1.4G主頻的CPU,256M的內(nèi)存,60G的硬盤(pán),15寸液晶顯示器,運(yùn)行Windows 2000系統(tǒng);防火墻2選用了安氏公司的100兆防火墻;網(wǎng)絡(luò)服務(wù)器3(WEB服務(wù)器)為1.7G主頻的CPU,512M的內(nèi)存,60G的硬盤(pán),15寸液晶顯示器,運(yùn)行Windows 2000 SERVER系統(tǒng),運(yùn)行TOMCAT4.0;終端4為網(wǎng)上銀行AAA(認(rèn)證、授權(quán)、審計(jì))系統(tǒng),具體配置為一臺(tái)RADIUS服務(wù)器;網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)服務(wù)器5選用了運(yùn)行在LINUX平臺(tái)上的ORACLE 8數(shù)據(jù)庫(kù)系統(tǒng);登錄認(rèn)證服務(wù)器6也叫做WEB登錄認(rèn)證服務(wù)器,我們選用了一臺(tái)DELL的工業(yè)機(jī)架服務(wù)器,運(yùn)行LINUX操作系統(tǒng)。短信網(wǎng)關(guān)7選用了一臺(tái)普通計(jì)算機(jī),運(yùn)行Windows2000系統(tǒng),用于轉(zhuǎn)發(fā)含有隨機(jī)密碼的短信數(shù)據(jù),基站8則借用目前營(yíng)業(yè)的移動(dòng)、聯(lián)通、小靈通的基站。
由圖2可見(jiàn),登錄認(rèn)證服務(wù)器6為一臺(tái)DELL的工業(yè)機(jī)架服務(wù)器,其核心配置為1.86G主頻的CPU,512M的內(nèi)存,80G的硬盤(pán),運(yùn)行LUNUX操作系統(tǒng);并配有以下軟件模塊核心模塊、通信模塊、數(shù)據(jù)查詢模塊、隨機(jī)碼模塊、加密模塊、定時(shí)器模塊、短信模塊,其中核心模塊負(fù)責(zé)對(duì)其他模塊的調(diào)度,同時(shí)保存所有的中間數(shù)據(jù);通信模塊主要負(fù)責(zé)與WEB服務(wù)器進(jìn)行通信,獲得所有用戶的登錄信息及加密后的驗(yàn)證信息;數(shù)據(jù)查詢模塊負(fù)責(zé)從后臺(tái)數(shù)據(jù)庫(kù)查詢和調(diào)取核心模塊所要求的數(shù)據(jù);隨機(jī)碼模塊負(fù)責(zé)產(chǎn)生隨機(jī)碼,提供一個(gè)動(dòng)態(tài)計(jì)算因子;加密模塊負(fù)責(zé)把核心模塊提交的數(shù)據(jù)進(jìn)行MD5或SHA1運(yùn)算,并把結(jié)果回送給核心模塊;定時(shí)器模塊根據(jù)核心模塊的要求產(chǎn)生定時(shí)器,并當(dāng)定時(shí)結(jié)束時(shí)通知核心模塊;短信模塊負(fù)責(zé)與圖1中的短信網(wǎng)關(guān)的通信。
下面以網(wǎng)上銀行為例,進(jìn)一步描述雙因子動(dòng)態(tài)密碼認(rèn)證的具體方法使用前,用戶應(yīng)該在相應(yīng)的網(wǎng)上銀行的業(yè)務(wù)機(jī)構(gòu)申請(qǐng)備案,并將用戶識(shí)別碼、用戶的短信接收號(hào)碼和客戶密碼存儲(chǔ)在網(wǎng)絡(luò)業(yè)務(wù)機(jī)構(gòu)的網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)中。所述的用戶識(shí)別碼為身份證號(hào)碼,或?qū)S每ㄌ?hào),或手機(jī)號(hào)碼,或特定的字符;所述的有效短信接收號(hào)碼為手機(jī)或小靈通號(hào)碼。
使用中a)用戶通過(guò)用戶計(jì)算機(jī)1輸入用戶識(shí)別碼,登錄認(rèn)證服務(wù)器6經(jīng)過(guò)網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)服務(wù)器5調(diào)取用戶的短信接收號(hào)碼和客戶密碼,由登錄認(rèn)證服務(wù)器6產(chǎn)生一個(gè)隨機(jī)密碼,并將它通過(guò)用戶的短信接收號(hào)碼發(fā)送給用戶;b)用戶在手機(jī)或小靈通方式接收到隨機(jī)密碼10分鐘內(nèi)必須將客戶密碼和獲得的隨機(jī)密碼輸入用戶計(jì)算機(jī)1,用戶計(jì)算機(jī)1將客戶密碼和隨機(jī)密碼進(jìn)行單向加密運(yùn)算,并將運(yùn)算結(jié)果經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器3傳輸?shù)降卿浾J(rèn)證服務(wù)器6;c)登錄認(rèn)證服務(wù)器6也將調(diào)取的客戶密碼和產(chǎn)生的隨機(jī)密碼進(jìn)行單向加密運(yùn)算,并與網(wǎng)絡(luò)服務(wù)器3傳輸?shù)慕Y(jié)果進(jìn)行比較;d)如果兩者的計(jì)算結(jié)果一致,用戶身份被確認(rèn),登錄認(rèn)證服務(wù)器6將使網(wǎng)絡(luò)服務(wù)器3開(kāi)通,網(wǎng)上銀行接受用戶的操作指令;如果兩者的計(jì)算結(jié)果不一致,用戶被拒絕,登錄認(rèn)證服務(wù)器將使網(wǎng)絡(luò)服務(wù)器3阻斷,網(wǎng)上銀行不能接受用戶的操作指令。
如果10分鐘內(nèi)用戶不能將客戶密碼和獲得的隨機(jī)密碼輸入用戶計(jì)算機(jī)1,導(dǎo)致登錄認(rèn)證服務(wù)器6不能在規(guī)定的時(shí)間內(nèi)收到網(wǎng)絡(luò)服務(wù)器3傳輸?shù)挠脩粲?jì)算機(jī)1進(jìn)行單向加密運(yùn)算的結(jié)果,登錄認(rèn)證服務(wù)器6的單向加密運(yùn)算的結(jié)果將消失,用戶身份將被認(rèn)為非法,網(wǎng)絡(luò)服務(wù)器3將被阻斷,網(wǎng)上銀行不能接受用戶的操作指令,用戶只能重新操作,獲得新的隨機(jī)密碼,再次重復(fù)上述過(guò)程。
權(quán)利要求
1.一種雙因子動(dòng)態(tài)密碼認(rèn)證的方法,其特征在于使用前,用戶應(yīng)該在相應(yīng)的網(wǎng)絡(luò)業(yè)務(wù)機(jī)構(gòu)申請(qǐng)備案,并將用戶識(shí)別碼、用戶的短信接收號(hào)碼和客戶密碼存儲(chǔ)在網(wǎng)絡(luò)業(yè)務(wù)機(jī)構(gòu)的網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)中;使用中a)用戶通過(guò)用戶計(jì)算機(jī)輸入用戶識(shí)別碼,登錄認(rèn)證服務(wù)器從網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)服務(wù)器調(diào)取用戶的短信接收號(hào)碼和客戶密碼,由登錄認(rèn)證服務(wù)器產(chǎn)生一個(gè)隨機(jī)密碼,并將它通過(guò)用戶的短信接收號(hào)碼發(fā)送給用戶;b)用戶將客戶密碼和獲得的隨機(jī)密碼及時(shí)輸入用戶計(jì)算機(jī),用戶計(jì)算機(jī)將客戶密碼和隨機(jī)密碼進(jìn)行單向加密運(yùn)算(MD5或SHA1),并將運(yùn)算結(jié)果經(jīng)過(guò)網(wǎng)絡(luò)服務(wù)器傳輸?shù)降卿浾J(rèn)證服務(wù)器;c)登錄認(rèn)證服務(wù)器也將調(diào)取的客戶密碼和已發(fā)送給用戶的隨機(jī)密碼進(jìn)行單向加密運(yùn)算(MD5或SHA1),并與從網(wǎng)絡(luò)服務(wù)器收到的結(jié)果進(jìn)行比較;d)如果兩者的計(jì)算結(jié)果一致,用戶身份被確認(rèn),登錄認(rèn)證服務(wù)器將使網(wǎng)絡(luò)服務(wù)器開(kāi)通,終端接受用戶的操作指令;如果兩者的計(jì)算結(jié)果不一致,用戶被拒絕,登錄認(rèn)證服務(wù)器將使網(wǎng)絡(luò)服務(wù)器阻斷,終端不能接受用戶的操作指令。
2.根據(jù)權(quán)利要求1所述的雙因子動(dòng)態(tài)密碼認(rèn)證的方法,其特征在于所述的用戶識(shí)別碼為身份證號(hào)碼,或?qū)S每ㄌ?hào),或手機(jī)號(hào)碼,或特定的字符;所述的有效短信接收號(hào)碼為手機(jī)或小靈通號(hào)碼;用戶獲得的隨機(jī)密碼的方式為通過(guò)手機(jī)或小靈通方式獲得的短信,所述的終端是與該用戶相關(guān)的網(wǎng)上銀行業(yè)務(wù)系統(tǒng),或網(wǎng)上證券交易系統(tǒng)。
3.根據(jù)權(quán)利要求1所述的雙因子動(dòng)態(tài)密碼認(rèn)證的方法,其特征在于用戶將客戶密碼和獲得的隨機(jī)密碼及時(shí)輸入用戶計(jì)算機(jī),是指手機(jī)或小靈通方式接收到隨機(jī)密碼10分鐘內(nèi),用戶必須將客戶密碼和獲得的隨機(jī)密碼輸入用戶計(jì)算機(jī)。
4.一種實(shí)現(xiàn)權(quán)利要求1所述雙因子動(dòng)態(tài)密碼認(rèn)證方法的系統(tǒng),包括用戶計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)服務(wù)器和終端,其特征在于還包括登錄認(rèn)證服務(wù)器、基站和用戶手機(jī),其中網(wǎng)絡(luò)服務(wù)器串接在用戶計(jì)算機(jī)和終端之間,網(wǎng)絡(luò)服務(wù)器通過(guò)登錄認(rèn)證服務(wù)器由數(shù)據(jù)線與網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)服務(wù)器連接,基站將登錄認(rèn)證服務(wù)器產(chǎn)生的含有隨機(jī)密碼的短信數(shù)據(jù)發(fā)送給用戶手機(jī)或小靈通。
5.根據(jù)權(quán)利要求4所述的實(shí)現(xiàn)雙因子動(dòng)態(tài)密碼認(rèn)證方法的系統(tǒng),其特征在于網(wǎng)絡(luò)服務(wù)器的輸入端設(shè)有防火墻,登錄認(rèn)證服務(wù)器通過(guò)短信網(wǎng)關(guān)向基站傳輸含有隨機(jī)密碼的短信數(shù)據(jù),所述的終端是與該用戶相關(guān)的網(wǎng)上銀行業(yè)務(wù)系統(tǒng),或網(wǎng)上證券交易系統(tǒng)。
6.根據(jù)權(quán)利要求4或5所述的實(shí)現(xiàn)雙因子動(dòng)態(tài)密碼認(rèn)證方法的系統(tǒng),其特征在于所述的登錄認(rèn)證服務(wù)器為一臺(tái)DELL的工業(yè)機(jī)架服務(wù)器,核心配置為1.86G主頻的CPU,512M的內(nèi)存,80G的硬盤(pán),運(yùn)行LUNUX操作系統(tǒng);并配有以下軟件模塊核心模塊、通信模塊、數(shù)據(jù)查詢模塊、隨機(jī)碼模塊、加密模塊、定時(shí)器模塊、短信模塊。
全文摘要
本發(fā)明涉及一種雙因子動(dòng)態(tài)密碼認(rèn)證的方法及系統(tǒng)。其方法是使用前,用戶應(yīng)在網(wǎng)絡(luò)業(yè)務(wù)機(jī)構(gòu)申請(qǐng)備案,在網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)中存儲(chǔ)用戶識(shí)別碼、用戶的短信接收號(hào)碼和客戶密碼;使用中先通過(guò)用戶計(jì)算機(jī)輸入用戶識(shí)別碼,通過(guò)短信獲得隨機(jī)密碼;用戶再將客戶密碼和隨機(jī)密碼輸入用戶計(jì)算機(jī),由用戶計(jì)算機(jī)進(jìn)行單向加密運(yùn)算,將結(jié)果傳輸?shù)降卿浾J(rèn)證服務(wù)器;登錄認(rèn)證服務(wù)器也將調(diào)取的客戶密碼和隨機(jī)密碼進(jìn)行單向加密運(yùn)算,并將兩個(gè)結(jié)果進(jìn)行比較;結(jié)果一致,用戶身份將被確認(rèn),終端則接受用戶的操作指令。實(shí)現(xiàn)上述方法的系統(tǒng)除了包括用戶計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)客戶資料數(shù)據(jù)庫(kù)服務(wù)器和終端外,還包括登錄認(rèn)證服務(wù)器、基站和用戶手機(jī)。
文檔編號(hào)G06Q30/00GK1811813SQ20061003857
公開(kāi)日2006年8月2日 申請(qǐng)日期2006年3月2日 優(yōu)先權(quán)日2006年3月2日
發(fā)明者韓林, 徐哲, 彭韜, 彭博 申請(qǐng)人:韓林, 徐哲, 彭韜, 彭博